MÄs pastÄstÄ«sim par lÄtu un droÅ”u veidu, kÄ nodroÅ”inÄt attÄlinÄto darbinieku savienojumus, izmantojot VPN, nepakļaujot uzÅÄmumu reputÄcijas vai finanÅ”u riskiem un neradot papildu problÄmas IT nodaļai un uzÅÄmuma vadÄ«bai.
AttÄ«stoties IT, ir kļuvis iespÄjams piesaistÄ«t attÄlinÄtos darbiniekus arvien lielÄkam skaitam amatu.
Ja agrÄk attÄlinÄto darbinieku vidÅ« galvenokÄrt bija radoÅ”o profesiju pÄrstÄvji, piemÄram, dizaineri, tekstu autori, tad tagad grÄmatvedis, juriskonsults un daudzi citu profesiju pÄrstÄvji var Ärti strÄdÄt no mÄjÄm, biroju apmeklÄjot tikai nepiecieÅ”amÄ«bas gadÄ«jumÄ.
Bet jebkurÄ gadÄ«jumÄ ir nepiecieÅ”ams organizÄt darbu, izmantojot droÅ”u kanÄlu.
VienkÄrÅ”Äkais variants. MÄs serverÄ« uzstÄdÄm VPN, darbiniekam tiek dota pieteikÅ”anÄs parole un VPN sertifikÄta atslÄga, kÄ arÄ« norÄdÄ«jumi, kÄ datorÄ iestatÄ«t VPN klientu. Un IT nodaļa savu uzdevumu uzskata par pabeigtu.
Å Ä·iet, ka ideja nav slikta, izÅemot vienu: tam jÄbÅ«t darbiniekam, kurÅ” prot visu konfigurÄt pats. Ja mÄs runÄjam par kvalificÄtu tÄ«kla lietojumprogrammu izstrÄdÄtÄju, ļoti iespÄjams, ka viÅÅ” tiks galÄ ar Å”o uzdevumu.
TaÄu grÄmatvedim, mÄksliniekam, dizainerim, tehniskajam rakstniekam, arhitektam un daudzÄm citÄm profesijÄm nav obligÄti jÄsaprot VPN iestatÄ«Å”anas sarežģītÄ«ba. Vai nu kÄdam ir nepiecieÅ”ams attÄlinÄti izveidot savienojumu ar viÅiem un palÄ«dzÄt, vai arÄ« ierasties personÄ«gi un iestatÄ«t visu uz vietas. AttiecÄ«gi, ja viÅiem kaut kas pÄrstÄj darboties, piemÄram, lietotÄja profila kļūmes dÄļ ir pazaudÄti tÄ«kla klienta iestatÄ«jumi, tad viss ir jÄatkÄrto no jauna.
Daži uzÅÄmumi nodroÅ”ina klÄpjdatoru ar jau instalÄtu programmatÅ«ru un konfigurÄtu VPN programmatÅ«ras klientu attÄlinÄtam darbam. TeorÄtiski Å”ajÄ gadÄ«jumÄ lietotÄjiem nevajadzÄtu bÅ«t administratora tiesÄ«bÄm. TÄdÄ veidÄ tiek atrisinÄtas divas problÄmas: darbiniekiem tiek garantÄta viÅu uzdevumiem atbilstoÅ”a licencÄta programmatÅ«ra un gatavs komunikÄcijas kanÄls. TajÄ paÅ”Ä laikÄ viÅi nevar paÅ”i mainÄ«t iestatÄ«jumus, kas samazina zvanu biežumu
tehniskÄ palÄ«dzÄ«ba.
Dažos gadÄ«jumos tas ir Ärti. PiemÄram, ja jums ir portatÄ«vais dators, jÅ«s varat Ärti sÄdÄt savÄ istabÄ dienas laikÄ un klusi strÄdÄt virtuvÄ, lai nevienu nepamodinÄtu.
KÄds ir galvenais trÅ«kums? Tas pats, kas pluss ā tÄ ir mobilÄ ierÄ«ce, kuru var nÄsÄt lÄ«dzi. LietotÄjus iedala divÄs kategorijÄs: tie, kas dod priekÅ”roku galddatoram, lai iegÅ«tu jaudu un lielu monitoru, un tie, kuriem patÄ«k pÄrnesamÄ«ba.
OtrÄ lietotÄju grupa ar abÄm rokÄm balso par portatÄ«vajiem datoriem. SaÅemot korporatÄ«vo klÄpjdatoru, Å”Ädi darbinieki ar prieku sÄk doties uz kafejnÄ«cÄm, restorÄniem, dodas uz dabu un mÄÄ£ina no turienes strÄdÄt. Ja tikai tas izdotos, nevis tikai izmantotu saÅemto ierÄ«ci kÄ savu datoru sociÄlajiem tÄ«kliem un citai izklaidei.
AgrÄk vai vÄlÄk uzÅÄmuma klÄpjdators tiek pazaudÄts ne tikai kopÄ ar darba informÄciju cietajÄ diskÄ, bet arÄ« ar konfigurÄtu VPN piekļuvi. Ja VPN klienta iestatÄ«jumos ir atzÄ«mÄta izvÄles rÅ«tiÅa āSaglabÄt paroliā, tad tiek skaitÄ«tas minÅ«tes. SituÄcijÄs, kad zaudÄjumi netika atklÄti uzreiz, netika nekavÄjoties informÄts atbalsta dienests vai uzreiz netika atrasts Ä«stais darbinieks ar bloÄ·ÄÅ”anas tiesÄ«bÄm ā tas var izvÄrsties par lielu nelaimi.
Dažreiz palÄ«dz ierobežot piekļuvi informÄcijai. TaÄu piekļuves ierobežoÅ”ana nenozÄ«mÄ pilnÄ«gu ierÄ«ces pazaudÄÅ”anas problÄmu risinÄÅ”anu; tas ir tikai veids, kÄ samazinÄt zaudÄjumus, kad dati tiek atklÄti un apdraudÄti.
Varat izmantot Å”ifrÄÅ”anu vai divu faktoru autentifikÄciju, piemÄram, ar USB atslÄgu. ÄrÄji ideja izskatÄs laba, taÄu tagad, ja klÄpjdators nonÄks nepareizÄs rokÄs, tÄ Ä«paÅ”niekam bÅ«s smagi jÄstrÄdÄ, lai piekļūtu datiem, tostarp piekļūtu caur VPN. Å ajÄ laikÄ jÅ«s varat bloÄ·Ät piekļuvi korporatÄ«vajam tÄ«klam. Un attÄlinÄtajam lietotÄjam paveras jaunas iespÄjas: uzlauzt vai nu klÄpjdatoru, vai piekļuves atslÄgu, vai visu uzreiz. FormÄli aizsardzÄ«bas lÄ«menis ir paaugstinÄts, bet tehniskÄ atbalsta dienestam nebÅ«s garlaicÄ«gi. TurklÄt katram attÄlinÄtajam operatoram tagad bÅ«s jÄiegÄdÄjas divu faktoru autentifikÄcijas (vai Å”ifrÄÅ”anas) komplekts.
AtseviŔķs skumjÅ” un garÅ” stÄsts ir zaudÄjumu iekasÄÅ”ana par nozaudÄtiem vai bojÄtiem portatÄ«vajiem datoriem (izmesti uz grÄ«das, izlijuÅ”i ar saldu tÄju, kafiju un citiem negadÄ«jumiem) un pazaudÄtÄm piekļuves atslÄgÄm.
Cita starpÄ klÄpjdatorÄ ir mehÄniskas detaļas, piemÄram, tastatÅ«ra, USB savienotÄji un vÄks ar ekrÄnu - tas viss laika gaitÄ nolietojas tÄ kalpoÅ”anas laiks, deformÄjas, kļūst vaļīgs un ir jÄremontÄ vai jÄnomaina (visbiežÄk , tiek nomainÄ«ts viss klÄpjdators).
Nu ko tagad? Ir stingri aizliegts izÅemt portatÄ«vo datoru no dzÄ«vokļa un izsekot
pÄrvietojas?
KÄpÄc tad viÅi izsniedza klÄpjdatoru?
Viens no iemesliem ir tas, ka klÄpjdatoru ir vieglÄk pÄrsÅ«tÄ«t. IzdomÄsim ko citu, arÄ« kompaktu.
JÅ«s varat izsniegt nevis klÄpjdatoru, bet aizsargÄtus LiveUSB zibatmiÅas diskus ar jau konfigurÄtu VPN savienojumu, un lietotÄjs izmantos savu datoru. Bet Ŕī ir arÄ« loterija: vai programmatÅ«ras montÄža darbosies lietotÄja datorÄ vai nÄ? ProblÄma var bÅ«t vienkÄrÅ”a nepiecieÅ”amo draiveru trÅ«kums.
JÄizdomÄ, kÄ organizÄt darbinieku sasaisti attÄlinÄti, un vÄlams, lai cilvÄks nepakļautos kÄrdinÄjumam klÄ«st pa pilsÄtu ar korporatÄ«vo portatÄ«vo datoru, bet gan sÄž mÄjÄs un mierÄ«gi strÄdÄ, neriskÄjot aizmirst vai kaut kur pazaudÄjot viÅam uzticÄto ierÄ«ci.
StacionÄra VPN piekļuve
Ko darÄ«t, ja jÅ«s nodroÅ”inÄsiet nevis gala ierÄ«ci, piemÄram, klÄpjdatoru vai jo Ä«paÅ”i ne atseviŔķu zibatmiÅas disku savienojumam, bet gan tÄ«kla vÄrteju ar VPN klientu?
PiemÄram, gatavs marÅ”rutÄtÄjs, kas ietver atbalstu dažÄdiem protokoliem, kurÄ jau ir konfigurÄts VPN savienojums. AttÄlinÄtajam darbiniekam vienkÄrÅ”i jÄpieslÄdz tam savs dators un jÄsÄk strÄdÄt.
KÄdas problÄmas tas palÄ«dz atrisinÄt?
- IekÄrtas ar konfigurÄtu piekļuvi korporatÄ«vajam tÄ«klam, izmantojot VPN, netiek izÅemtas no mÄjas.
- Vienam VPN kanÄlam var pievienot vairÄkas ierÄ«ces.
IepriekÅ” jau rakstÄ«jÄm, ka ir patÄ«kami pÄrvietoties pa dzÄ«vokli ar klÄpjdatoru, taÄu bieži vien ir vieglÄk un ÄrtÄk strÄdÄt ar stacionÄro datoru.
Un jÅ«s varat savienot datoru, klÄpjdatoru, viedtÄlruni, planÅ”etdatoru un pat e-lasÄ«tÄju marÅ”rutÄtÄja VPN ā jebko, kas atbalsta piekļuvi, izmantojot Wi-Fi vai vadu Ethernet.
Ja skatÄs uz situÄciju plaÅ”Äk, tas varÄtu bÅ«t, piemÄram, pieslÄguma punkts mini birojam, kurÄ var strÄdÄt vairÄki cilvÄki.
Å ÄdÄ aizsargÄtÄ segmentÄ savienotÄs ierÄ«ces var apmainÄ«ties ar informÄciju, jÅ«s varat organizÄt kaut ko lÄ«dzÄ«gu failu apmaiÅas resursam, vienlaikus nodroÅ”inot normÄlu piekļuvi internetam, nosÅ«tÄ«t dokumentus drukÄÅ”anai uz ÄrÄju printeri utt.
KorporatÄ«vÄ telefonija! Å ajÄ skaÅÄ ir tik daudz, kas skan kaut kur caurulÄ! CentralizÄts VPN kanÄls vairÄkÄm ierÄ«cÄm ļauj savienot viedtÄlruni, izmantojot Wi-Fi tÄ«klu, un izmantot IP telefoniju, lai zvanÄ«tu uz Ä«sajiem numuriem korporatÄ«vajÄ tÄ«klÄ.
PretÄjÄ gadÄ«jumÄ jums bÅ«s jÄveic mobilie zvani vai jÄizmanto ÄrÄjas lietojumprogrammas, piemÄram, WhatsApp, kas ne vienmÄr atbilst uzÅÄmuma droŔības politikai.
Un tÄ kÄ mÄs runÄjam par droŔību, ir vÄrts atzÄ«mÄt vÄl vienu svarÄ«gu faktu. Izmantojot aparatÅ«ras VPN vÄrteju, varat uzlabot savu droŔību, izmantojot jaunas ieejas vÄrtejas vadÄ«bas funkcijas. Tas ļauj palielinÄt droŔību un daļu satiksmes aizsardzÄ«bas slodzes novirzÄ«t uz tÄ«kla vÄrteju.
KÄdu risinÄjumu Zyxel var piedÄvÄt Å”im gadÄ«jumam?
Apsveram ierÄ«ci, kuru vajadzÄtu izsniegt pagaidu lietoÅ”anai visiem darbiniekiem, kuri var un vÄlas strÄdÄt attÄlinÄti.
TÄpÄc Å”Ädai ierÄ«cei jÄbÅ«t:
- lÄti;
- uzticams (lai netÄrÄtu naudu un laiku remontam);
- pieejams iegÄdei mazumtirdzniecÄ«bas tÄ«klos;
- viegli uzstÄdÄ«t (paredzÄts lietoÅ”anai bez Ä«paÅ”as zvanÄ«Å”anas
apmÄcÄ«ts speciÄlists).
NeizklausÄs ļoti reÄli, vai ne?
TomÄr Å”Äda ierÄ«ce pastÄv, tÄ patieÅ”Äm pastÄv un ir bezmaksas
- Zyxel ZyWALL VPN2S
VPN2S ir VPN ugunsmÅ«ris, kas ļauj izmantot privÄtu savienojumu
punkts-punkts bez sarežģītas tÄ«kla parametru konfigurÄcijas.
1. attÄls. Zyxel ZyWALL VPN2S izskats
ÄŖsa ierÄ«ces specifikÄcija
Aparatūras funkcijas
10/100/1000 Mbps RJ-45 porti
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB porti
2 x USB 2.0
Nav ventilatora
JÄ
SistÄmas jauda un veiktspÄja
SPI ugunsmÅ«ra caurlaidspÄja (Mb/s)
1.5 Gbps
VPN caurlaidspÄja (Mb/s)
35
MaksimÄlais vienlaicÄ«gu sesiju skaits. TCP
50000
MaksimÄlais vienlaicÄ«go IPsec VPN tuneļu skaits [5] 20
PielÄgojamas zonas
JÄ
IPv6 atbalsts
JÄ
MaksimÄlais VLAN skaits
16
GalvenÄs programmatÅ«ras funkcijas
VairÄku WAN slodzes lÄ«dzsvars/kļūmjpÄrlÄce
JÄ
VirtuÄlais privÄtais tÄ«kls (VPN)
JÄ (IPSec, L2TP, izmantojot IPSec, PPTP, L2TP, GRE)
VPN klients
IPSec/L2TP/PPTP
Satura filtrÄÅ”ana
1 gads bez maksas
Ugunsmūris
JÄ
VLAN/interfeisa grupa
JÄ
Joslas platuma pÄrvaldÄ«ba
JÄ
Notikumu žurnÄls un uzraudzÄ«ba
JÄ
MÄkoÅu palÄ«gs
JÄ
TÄlvadÄ«ba
JÄ
PiezÄ«me. Tabulas dati ir balstÄ«ti uz OPAL BE mikrokodu 1.12 vai jaunÄku
jaunÄka versija.
KÄdas VPN opcijas atbalsta ZyWALL VPN2S
Faktiski no nosaukuma ir skaidrs, ka ZyWALL VPN2S ierÄ«ce galvenokÄrt ir
izstrÄdÄts, lai savienotu attÄlos darbiniekus un mini filiÄles, izmantojot VPN.
- L2TP Over IPSec VPN protokols tiek nodroÅ”inÄts galalietotÄjiem.
- Lai savienotu mini birojus, tiek nodroÅ”inÄta saziÅa, izmantojot vietÅu IPSec VPN.
- TurklÄt, izmantojot ZyWALL VPN2S, varat izveidot L2TP VPN savienojumu ar
pakalpojumu sniedzÄjs droÅ”ai piekļuvei internetam.
JÄpiebilst, ka Å”is dalÄ«jums ir ļoti nosacÄ«ts. PiemÄram, jÅ«s varat
attÄlais punkts konfigurÄ Site-to-Site IPSec VPN savienojumu ar vienu
lietotÄjs perimetrÄ.
Protams, tas viss, izmantojot stingrus VPN algoritmus (IKEv2 un SHA-2).
Izmantojot vairÄkus WAN
AttÄlinÄtajam darbam galvenais, lai bÅ«tu stabils kanÄls. DiemžÄl ar vienÄ«go
To nevar garantÄt ar sakaru lÄ«niju pat no visuzticamÄkÄ pakalpojumu sniedzÄja.
ProblÄmas var iedalÄ«t divos veidos:
- Ätruma samazinÄÅ”anÄs ā ar to palÄ«dzÄs Multi-WAN slodzes lÄ«dzsvaroÅ”anas funkcija
stabila savienojuma uzturÄÅ”ana vajadzÄ«gajÄ ÄtrumÄ; - kļūme kanÄlÄ - Å”im nolÅ«kam tiek izmantota Multi-WAN kļūmjpÄrlÄces funkcija
defektu tolerances nodroÅ”inÄÅ”ana, izmantojot dublÄÅ”anas metodi.
KÄdas aparatÅ«ras iespÄjas ir Å”im nolÅ«kam:
- Ceturto LAN portu var konfigurÄt kÄ papildu WAN portu.
- USB portu var izmantot, lai pievienotu 3G/4G modemu, kas nodroŔina
rezerves kanÄls mobilo sakaru veidÄ.
PaaugstinÄta tÄ«kla droŔība
KÄ minÄts iepriekÅ”, Ŕī ir viena no galvenajÄm speciÄlÄs izmantoÅ”anas priekÅ”rocÄ«bÄm
centralizÄtas ierÄ«ces.
ZyWALL VPN2S ir SPI (Stateful Packet Inspection) ugunsmÅ«ra funkcija, lai cÄ«nÄ«tos pret dažÄda veida uzbrukumiem, tostarp DoS (Denial of Service), uzbrukumiem, izmantojot viltotas IP adreses, kÄ arÄ« nesankcionÄtu attÄlo piekļuvi sistÄmÄm, aizdomÄ«gu tÄ«kla trafiku un pakotnes.
KÄ papildu aizsardzÄ«ba ierÄ«cei ir Satura filtrÄÅ”ana, lai bloÄ·Ätu lietotÄju piekļuvi aizdomÄ«gam, bÄ«stamam un sveÅ”am saturam.
Ätra un vienkÄrÅ”a 5 pakÄpju iestatÄ«Å”ana ar iestatÄ«Å”anas vedni
Lai Ätri izveidotu savienojumu, ir Ärts iestatÄ«Å”anas vednis un grafiskais
saskarne vairÄkÄs valodÄs.
2. attÄls. Viena no iestatÄ«Å”anas vedÅa ekrÄniem piemÄrs.
Ätrai un efektÄ«vai pÄrvaldÄ«bai Zyxel piedÄvÄ pilnu attÄlÄs administrÄÅ”anas utilÄ«tu paketi, ar kuras palÄ«dzÄ«bu jÅ«s varat viegli konfigurÄt VPN2S un to pÄrraudzÄ«t.
IespÄja dublÄt iestatÄ«jumus ievÄrojami vienkÄrÅ”o vairÄku ZyWALL VPN2S ierÄ«Äu sagatavoÅ”anu pÄrsÅ«tÄ«Å”anai attÄliem darbiniekiem.
VLAN atbalsts
Neskatoties uz to, ka ZyWALL VPN2S ir paredzÄts attÄlinÄtam darbam, tas atbalsta VLAN. Tas ļauj palielinÄt tÄ«kla droŔību, piemÄram, ja ir pieslÄgts individuÄla uzÅÄmÄja birojs, kurÄ ir viesu Wi-Fi. Standarta VLAN funkcijas, piemÄram, apraides domÄnu ierobežoÅ”ana, pÄrraidÄ«tÄs trafika samazinÄÅ”ana un droŔības politiku piemÄroÅ”ana, ir pieprasÄ«tas korporatÄ«vajos tÄ«klos, taÄu principÄ tÄs var izmantot arÄ« mazos uzÅÄmumos.
VLAN atbalsts noder arÄ« atseviŔķa tÄ«kla organizÄÅ”anai, piemÄram, IP telefonijai.
Lai nodroÅ”inÄtu darbÄ«bu ar VLAN, ZyWALL VPN2S ierÄ«ce atbalsta IEEE 802.1Q standartu.
SummÄjot
Lai pazaudÄtu mobilo ierÄ«ci ar konfigurÄtu VPN kanÄlu, ir nepiecieÅ”ami citi risinÄjumi, nevis korporatÄ«vo klÄpjdatoru izplatÄ«Å”ana.
Kompaktu un lÄtu VPN vÄrteju izmantoÅ”ana ļauj Ärti organizÄt attÄlinÄto darbinieku darbu.
ZyWALL VPN2S modelis sÄkotnÄji bija paredzÄts attÄlinÄto darbinieku un mazu biroju savienoÅ”anai.
Noderīgas saites
ā
ā
ā
ā
ā
Avots: www.habr.com